Może kojarzysz, że było zamieszanie z powodu utrudnień w dzieleniu się danymi z firmami z USA włącznie z Google, Facebook, Apple czy Microsoft. Stany zaczynają mieć na to kolejny pomysł. Jaki? O tym we wpisie.

Jego autorem jest Tomek Skupny – tak jak tego o Omnibusie, który też Ci polecam. Kończę już pisać kursywą i oddaję mu miejsce.

Privacy saga, czyli opowieść o…

Mamy pierwsze efekty porozumienia między Unią Europejską a Stanami Zjednoczonymi  dotyczące transferu danych z Europejskiego Obszaru Gospodarczego do USA. 7 października Joe Biden podpisał rozporządzenie wykonawcze (executive order) mające na celu uzdrowienie relacji międzykontynentalnych, dotyczących prywatności Europejczyków w zakresie inwigilacji i prawa do kontroli nad przetwarzaniem tych danych. 

Ale o co chodzi?

Tak dla przypomnienia, historia z transferem danych do USA rozpoczęła się od skargi Maxa Schrems’a- aktywisty działającego na rzecz prywatności, która poskutkowała wyrokiem TSUE (Europejskiego Trybunału Sprawiedliwości; nazywanym Schrems I), w którym Trybunał zakwestionował mechanizm adekwatności ochrony danych osobowych po ich transferze z UE do USA. W międzyczasie rozwiązania prawne opisane w Safe Harbor ewoluowały w Privacy Shield (w skrócie mówiąc, oba z nich opisują mechanizmy mające na celu zabezpieczenie danych zgodnie z RODO), a TSUE w wyroku Schrems II uznał również i Privacy Shield za niespełniające wymogów wskazanych w RODO. Tym samym powróciliśmy do stanu z 2016 roku, gdzie nie ma rozwiązań dających pewność zastosowania adekwatnych rozwiązań związanych z prywatnością dla transferu do USA danych przetwarzanych na terenie UE.

“Konieczny” i “proporcjonalny”

Cała privacy saga rozbija się o te dwa zwroty. Problem skupia się na tym, że podmioty funkcjonujące na terenie USA mają obowiązek dzielić się przetwarzanymi danymi ze służbami ze względów bezpieczeństwa. Jedni nazywają to przeciwdziałaniem terroryzmowi, drudzy masową inwigilacją, lecz nie jest to kwestia semantyki, a problem dotyczący wielu podmiotów. W końcu większość z nas wykorzystuje usługi pochodzące z kraju Wuja Sama.

TSUE w szczególności położył nacisk w zakresie kontroli służb na dwie kwestie wynikające wprost z Karty Praw Podstawowych: by była ona proporcjonalna  oraz by podmiot tych danych miał dostęp do bezstronnego sądu.

Czy to cokolwiek zmienia?

Amerykańskie rozporządzenie wprowadza wymóg, dotyczący wszystkich służb i agencji rządowych, by dane wykorzystywane przez służby, również w ramach takich projektów jak PRISM, był poprzedzony testem, czy jest on niezbędny i proporcjonalny. Czy zostanie to uznane za wystarczające? Zapewne dowiemy się tego w niedalekiej przyszłości, bo organizacja założona przez Pana Schremsa- już teraz zapowiada monitorowanie sprawy, a nie przejawiają entuzjazmu co do przedstawionych rozwiązań i są bardziej skłonni do ich krytyki niż podziwiania.

Rozporządzenie zajmuje się również kwestią kontroli samego procesu zbierania danych. Mechanizm będzie oparty o procedurą dwuetapową (pierwszą „instancją” będzie urzędnik do spraw ochrony swobód obywatelskich podlegający dyrektorowi wywiadu, drugą natomiast będzie Sąd ds. przeglądu ochrony danych). Jest to o tyle ciekawe, że wydaje się to raczej klonem obecnego systemu, gdzie występuje Rzecznik do spraw Tarczy prywatności, z dodatkiem drugiej instancji. Nie jest to tym samym odpowiedź na zarzut braku prawa do bezstronnego sądu. Pozostanie aktualny stan, gdzie osoba mające podejrzenie naruszenia jej praw wynikających z RODO, zgłasza to do UE, a UE zadaje pytanie urzędnikowi, który po przeanalizowaniu sprawy udziela odpowiedzi, czy działania służb są właściwe, czy też wdrożono środki zaradcze z uwagi na niewłaściwe postępowanie z danymi. Skarżący nie otrzyma informacji, dlaczego taka decyzja została wydana, lecz jedynie informacje, czy jego skarga została uwzględniona, czy też nie. Jednocześnie TSUE ponownie może uznać, że Sąd ds. przeglądu ochrony danych nie jest sądem bezstronnym, a jedynie instytucją zależną.

Safe Harbour, Privacy Shield, teraz może Data Fortress? Czyli co z tego wynika.

Co z tego wynika dla podmiotu współpracującego z USA? Że dalej nie wie, na jakiej podstawie powinien dokonywać transferu danych za ocean, prócz opierania się standardowych klauzulach umownych. Może być jednak pewien, że w sadze prywatności, będziemy mieli część trzecią. Po Bezpiecznej Przystani, Tarczy Prywatności nadejdzie kolejne rozwiązanie, które może zmienić coś w aspekcie transferu danych lub też nie, ale na pewno będzie posiadało wdzięczną nazwę jak poprzedniczki. 

Czy coś mogę zrobić?

Jesteśmy na etapie, gdzie należy się spodziewać powolnych ruchów największych graczy i zmian w ich dokumentach dotyczących przetwarzania danych osobowych. Więc sam temat należy monitorować. Warto również rzucić okiem na własne dokumenty i sprawdzić, czy nie widnieje w nich uchylona przez TSUE Tarcza prywatności jako podstawa transferu danych za ocean, lub – co gorsza – nie ma żadnej wzmianki o takiej podstawie.